Exchange 2000 中的密钥管理服务器概念

邮件签名和验证

给邮件签名

当用户给邮件签名时，客户端就生成了一个数字签名，它是该邮件的校验和。接着将使用发件人的专用签名密钥对该数字签名进行加密。最后，原始明文邮件、数字签名和包含有发件人公用签名密钥的发件人签名证书都发送给收件人。

验证签名

为验证签名，收件人对照证书吊销列表 (CRL) 来检查发件人的签名证书。如果该证书在列表上，将警告收件人说发件人的证书已被吊销。如果发件人的证书有效，则用随邮件一起发送来的发件人公用签名密钥对该加密的数字签名进行解密。最后，客户端对明文邮件执行校验和，然后将此校验和与解密的数字签名进行比较。两个值必须相符。如果这两个值不符，就会警告收件人说该邮件在最初签名后已被改变。

KMS 管理 — 注册用户

Active Directory 用来在高级安全设置中逐个注册用户，或按组、Exchange 管理组或服务器来注册用户。

注意 每一例注册只需要提供一次管理员密码。默认情况下，密码是 password。
在注册用户时，KMS 代表他们从证书服务申请证书。这些证书接着用于为每个用户创建两个密钥对。在客户端创建的一个密钥对用于数字签名，另一个在 KMS 上创建的密钥对用于电子邮件加密。当您准备好在 KMS 中注册用户时，您可以选择逐个注册或成批注册。不管用哪一种方法，您注册的用户都将接收到一个注册令牌。您可以使用Exchange 系统管理器或使用“Active Directory 用户和计算机”管理单元来注册用户。

要在 Exchange 系统管理器中逐个注册用户，请按以下步骤操作：

1.	在 Exchange 系统管理器中，单击“高级安全性”。
2.	在右窗格中，右键单击“密钥管理器”，指向“所有任务”，然后单击“注册用户”。
3.	在“Enroll Users Selection”（注册用户选择）框中，单击“Display an alphabetical list of user names from the global address book”（从全球通讯薄显示按字母顺序排列的用户名列表），然后单击“确定”。
4.	您的组织的通讯薄就会显示在“注册用户”框中。
5.	单击一个或多个用户，然后单击“添加”以将他们添加到“已选定”列中。
6.	如要向他们发送一个令牌，请单击“注册”。 注意 目前已注册的用户在 KMS 中都可以看到，但无法选择他们。

要在 Exchange 系统管理器中注册用户组，请：

1.	在 Exchange 系统管理器中，单击“高级安全性”。
2.	在右窗格中，右键单击“密钥管理器”，指向“所有任务”，然后单击“注册用户”。
3.	在“Enroll Users Selection”（注册用户选择）框中，单击“Display mailbox stores, Exchange servers, and administrative groups of eligible users”（显示合格用户的邮箱存储、Exchange 服务器和管理组），然后单击“确定”。
4.	您的组织的管理组将出现在“注册用户”框中。
5.	展开适当的管理组，并继续展开直到可以单击希望注册的节点。
6.	当单击“注册”时，此节点中的所有用户都将被选中，而且其所有子节点都将收到一个令牌。

注意 也可以通过“Active Directory 用户和计算机”在“高级安全性”中逐个注册用户。在“Active Directory 用户和计算机”中，对于每个注册的用户都会显示更多细节，包括各用户的安全状态、其密钥管理服务器以及证书激活和过期日期。

KMS 管理 — 吊销证书

如果一个用户的私钥泄密，必须由 KMS 管理员将其吊销。要对某一特定用户禁用“高级安全性”，可吊销此用户的证书。您可以从 Exchange 系统管理器或从“Active Directory 用户和计算机”吊销用户证书。在 Exchange 系统管理器中，单击“高级安全性”，右键单击“密钥管理器”，指向“所有任务”，然后单击“吊销证书”。在“Active Directory 用户和计算机”中，查看此用户属性，单击“Exchange 功能”选项卡、查看“电子邮件安全”属性，然后单击“吊销”。

注意 无论使用何种方法吊销证书，您都要键入 KMS 管理员密码。默认情况下，管理员密码是 password。

恢复密钥

有两种情况需要恢复密钥：从另一个 KMS 导入用户时和用户丢失密钥时。

从其他 KMS 服务器导入用户

当“高级安全性”用户从其原始 KMS 中导出时，其证书将被吊销。当他们迁移到新的 KMS 之后，可以继续使用其旧密钥读取旧的加密电子邮件。不过，用户的旧密钥现在绑定到一个已发布到您的组织的 CRL 的证书。因此，用户创建新的加密邮件时需要新的证书和相应的密钥。为确保用户收到有效的密钥，导出和导入过程的最后要执行密钥恢复这一步骤。

用户丢失其密钥

用户在忘记密码或计算机硬盘出现故障时，都有可能丢失其现有的密钥。密钥恢复可防止用户丢失其加密的电子邮件，并可以恢复可能很重要的信息。

在密钥恢复过程中，与注册过程一样，将发送给用户一个令牌。发送恢复令牌的方式与发送注册令牌时选择的方式相同，既可以通过管理员，也可以通过电子邮件。在 Outlook 中输入此恢复令牌之后，就会为用户创建一个新的签名密钥对。另外，KMS 将返回用户的所有旧密钥。对于导入的用户，会生成一个新的加密密钥对。

您可以从 Exchange 系统管理器或从“Active Directory 用户和计算机”中恢复用户密钥。要在 Exchange 系统管理器中恢复密钥，请按照下列步骤操作：

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 34 下一页

上一篇：Exchange 2003 使用队列查看器的秘籍   下一篇：如何使 Outlook Web Access 成为默认 Web 站点

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】

推荐文章 ·Exchange 2007之初体验 ·无法将邮件复制或移动到公用文件夹 ·symantec企业版客户端8.1的排除扫描 ·通过ISA防火墙的安全Exchange RPC过 ·沟通无极限 Exchange Server 2007抢 ·Exchange动态同步中的INTERNET_29错 ·Exchange Server 最佳做法分析器工 ·如何将Exchange配置为Lotus Notes S 精彩文章 ·如何部署Exchange 2000路由和存储(2 ·基于ADSI的NT帐号及Exchange Server ·Isinteg 实用工具的说明 ·修改 OWA 或 Iisadmpwd 的密码后出 ·Exchange中的委托管理权限 ·OUTLOOK使用RPC与RPC Over HTTP的区 ·Exchange 2000让电子邮件系统更加安 ·Exchange 2007测试之八：Outlook 20 ·在Exchange 中收回已发送的电子邮件 ·EXCHANGE2000由于日志文件误删除无 ·浅谈Exchange Server邮件存储系统- ·Exchange Server 5.5升级至Exchange ·Exchange Server灾难恢复的黄金三招 ·在Exchange Server 2003中使用队列 ·Exchange教程之OWA基本管理 ·将Exchange从域控制器降级为成员服 ·Exchange开发(四) Exchange Resourc ·Exchange Server 2003实现单域数字 ·Exchange 2000 中的密钥管理服务器 ·在移动Exchange的公共文件夹对象时 ·重新安装 IIS SMTP 服务后无法发送 ·用Telnet检查Exchange的POP3服务 ·Exchange 2007：Anywhere Access ·突破OWA附件1M大小的限制 ·Exchange Server 2003 的邮件传送监 ·如何将 Exchange 2000 移至新硬件并